Datenschutz in der Personalakte · intersoft consulting services AG Unternehmensprofil intersoft...

intersoft consulting services AG

Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.

Besuchen Sie uns im Internet unter:

www.intersoft-consulting.de

Datenschutz in der Personalakte

Elektronische Personalakte datenschutzkonform umsetzen

Thorsten Logemann

Vorstandsvorsitzender der intersoft consulting services AG

am 28.02.2016 beim Arbeitgeberverband Lüneburg-Nordostniedersachsen e.V.


Unternehmensprofil


Beratung in Datenschutz, IT-Sicherheit und IT-Forensik

Firmensitz der Aktiengesellschaft (nicht börsennotiert) ist Hamburg

Weitere Büros: München, Stuttgart, Berlin, Frankfurt am Main, Düsseldorf und Kiel

Gegründet: 2006

Aktienkapital: 1,1 Mio. EUR

100% des Aktienkapitals im Besitz der WWK Versicherungsgruppe

Umfassende Betriebs- und Vermögensschadenhaftpflicht

Vorstände: Thorsten Logemann (Vorstandsvorsitz), Dr. Nils Christian Haag

Aufsichtsratsvorsitzender: Herr Ralf Schmidt (WWK Versicherungsgruppe)


Agenda

1 Grundsätzliches zum Datenschutz

2 Elektronische Personalakte

3 Anbahnung eines Beschäftigungsverhältnisses

4 Laufendes Beschäftigungsverhältnis

5 Ausscheiden aus dem Beschäftigungsverhältnis


Grundsätze des Datenschutzrechts

Verbot mit Erlaubnisvorbehalt

Alles,

was nicht ausdrücklich erlaubt ist,

ist verboten!



Gesetzliche Grundlagen

Europäische Richtlinien

Grundgesetz

Allgemeine Gesetze (BDSG, TMG, SGB)

Ab 25. Mai 2018 EU-DSGVO



Erlaubnistatbestände aus dem BDSG

Erforderlichkeit für das Beschäftigungsverhältnis

Vorliegen eines berechtigten Interesses (Abwägung)

Erlaubnistatbestände aus anderen Rechtsvorschriften

Betriebsvereinbarung

Spezialgesetze, z.B. § 93 AO

Einwilligung des Betroffenen

Erlaubnis



Einwilligung des Betroffenen

Problematisch im Beschäftigungsverhältnis!

Muss freiwillig erteilt werden

Widerruflich


Betroffenenrechte

Diejenige natürliche Person, deren

Daten verarbeitet werden, bezeichnet

das Gesetz als „Betroffener“.

Betroffene können beispielsweise der

Mitarbeiter, der Kunde oder der

Ansprechpartner eines Firmenkunden

sein.


Betroffenenrechte

Den Betroffenen räumen die Datenschutzgesetze Rechte ein:

Information bei Erhebung oder Benachrichtigung bei erstmaliger

Speicherung

Auskunftsrecht (idR unentgeltlich)

über die zu seiner Person gespeicherten Daten

über die Herkunft der gespeicherten Daten

über die Empfänger, an die Daten weitergegeben werden

über den Zweck der Speicherung

Berichtigungsanspruch bei unrichtigen Daten

Löschungs- und/oder Sperrungsanspruch, wenn die Daten nicht mehr

benötigt werden.

Häufig werden diese Auskunftsrechte genutzt, um Beschwerden/

Klagen vorzubereiten!


Agenda







Elektronische Personalakte

Papierlose Personalabteilung - Umstellung auf die elektronische

Personalakte datenschutzkonform?

digitalanalog

DatenschutzrechtlicheAnforderungen bleiben

gleich!



Datenschutzrechtliche Schwerpunkte zur ePersA

Einführung • Mitbestimmungsrecht des BR

• Einbindung des DSB

Umstellung

• Revisionssicheres Archivieren

• Datenschutzvereinbarung mit Scandienstleister

• Aufbewahrungsfristen prüfen

Aktenführung

• Berechtigungskonzept

• Auskunftsrechte und Transparenz

• Löschroutinen



Darauf sollten Sie bei der ePersA zusätzlich achten:

TOMS prüfen !

Personenbezogene Auswertungen vermeiden !

Unterlagen zusätzlich im Original aufbewahren ?


Agenda







Agenda

Anbahnung

Online-Bewerbung, Background-Check,Bewerbungsgespräch

Ablehnung

Berücksichtigung für andere Stellen,Aufbewahrungs- und Löschfristen

Einstellung

Zeiterfassung, Personalfragebogen, Fotos, Skill-Management,Mitarbeiterbefragungen,Krankmeldungen,Personalakte, BEM

Ausscheiden

Laufzettel,Aufbewahrungs-Und Löschfristen


Online Bewerbungen

Ermöglichen Sie eine verschlüsselte Übertragung

Begrenzen Sie den Zugriff auf die Bewerberdaten

Verzichten Sie auf ausufernde Analyse-Tools (keine automatisierte

Einzelfallentscheidung)

Bewerbungen per E-Mail oder über die Website


Online-Bewerbungen


Background-Check (Pre-Employment-Screening)

Selbst oder durch Dritten:

Suchmaschinen

Eigene Webseiten des Bewerbers?

Zeitungen

Berufsbezogene soziale Netzwerke

Freizeitbezogene soziale Netzwerke

O


Bewerbungsgespräch

Adresse/Kontaktdaten

Familienstand

Alter

Schwerbehinderteneigenschaft

Religion

Vermögensverhältnisse

Hobbies

Rauchereigenschaft

Bisheriges Gehalt

Vorstrafen

Zulässige Fragen im Bewerbungsgespräch:

?

?

?

O

O

O

O


Ablehnung

Löschfristen beachten! (ca. 6 Monate nach Ablehnung)

Talent-Pool nur mit Einwilligung (zumindest per E-Mail)

Weitergabe der Bewerbung an Dritte (auch innerhalb des

Konzerns) ebenfalls nur mit Einwilligung


Agenda







Personalfragebogen

Darf nur Fragen enthalten, die für die Durchführung des

Arbeitsverhältnisses erforderlich sind (ansonsten als optional

kennzeichnen)

Betriebsrat muss zustimmen (§ 94 Abs. 1 Satz 1 BetrVG)


Datenschutz in der Personalabteilung

Zulässige Fragen im Personalfragebogen (Arbeitsbeginn) :

Adresse/Kontaktdaten

Notfallkontakt

Alter, Familienstand

Schwerbehinderteneigenschaft

Religion

Vermögensverhältnisse

Hobbies

Rauchereigenschaft

Bisheriges Gehalt

Vorstrafen

Geplante Elternzeit

?

?

O

O


Personalausweis und Führerschein

Ist das Kopieren von Personalausweis und Führerscheine zu

Dokumentationszwecken zulässig?


Krankmeldungen

AU direkt an Personalabteilung

AU verschlossen aufbewahren

Details vertraulich behandeln


BEM

Der AG ist gemäß§84 Abs. 2 SGB IX dazu verpflichtet ein

betriebliches Eingliederungsmanagement anzubieten!

Dabei ist auf den Datenschutz zu achten:

Schriftliche Einwilligung des Betroffenen

erforderlich

Mitbestimmungsrechte des BR wahren

Unterlagen zu BEM gesondert von der

Personalakte verwahren

BEM-Team gemäß§5 BDSG auf das

Datengeheimnis verpflichten


Arbeitszeiterfassung

Grundsätzlich zulässig zur Vertragserfüllung bei Gleitzeit

Wichtig insbesondere

Transparenz

Manipulationsschutz

Berechtigungssystem

Mitbestimmungspflichtig,§ 87 Abs. 1 Nr. 6 BDSG

Vorabkontrolle durch DSB

Unbedingt Trennungsgebot beachten

Grundsätzlich keine Zusammenführung mit Daten anderer Zweckbestimmung

z.B. kein Abgleich mit Videodaten der Zugangskontrolle

Bei der Ahndung von Pflichtverletzungen gilt:

Betriebsrat einbeziehen, entsprechend der BV vorgehen

Verhältnismäßigkeit (Verdacht einer Straftat?)


Fotos von Mitarbeitern

designed by Asierromero - Freepik.com

Verwendung grundsätzlich nur mit Einwilligung!

Bildmaterial konkret bezeichnen

Verwendungszwecke konkret

bezeichnen

Auf die Möglichkeit des Widerrufs

hinweisen


Skill-Management

Mitbestimmungsrechte des Betriebsrates beachten

Wie soll die Aktualität gewährleistet werden?

möglichst transparent gestalten


Mitarbeiterbefragungen

Abfrage aller AN zu subjektiven

Einschätzungen über Arbeitsumfeld,

Arbeitszufriedenheit, etc.

i.d.R. Durchführung in anonymisierter Form

bei Personenbeziehbarkeit: Freiwilligkeit der

Teilnahme


Agenda







Laufzettel

Datenträger zurückgegeben (Notebook, Mobiltelefon, Tablet,

USB-Sticks)

Chip-Karte, Schlüssel zurückgegeben

Private Daten von Laufwerken (und ggf. aus E-Mail-Konto)

gelöscht

Beim Ausscheiden bietet sich ein „Laufzettel“ an

Damit in der IT-Abteilung Rechteentzug beantragen!


Aufbewahrungsfristen (nicht abschließend)

Die Frist beginnt Ende des Jahres, in dem der Mitarbeiter ausgeschieden ist.

Nach 3 Jahren verjähren Ansprüche auf Erteilung eines Arbeitszeugnisses, Schadensersatzansprüche, etc.

Nach 6 bzw. 10 Jahren enden steuerrechtliche Aufbewahrungsfristen.

Nach 10 Jahren sind Personalakten regelmäßig zu vernichten!


Aufbewahrung

„Bayerns Datenschützer sind alarmiert:

Ende Juni wurden in der seit elf Jahren

verlassenen Wiedemann-Klinik am

Starnberger See Krankenakten und

Röntgenbilder gefunden – darunter auch

von deutschen Fernsehstars wie Heinz

Rühmann (1902-1994), Inge Meysel

(1910-2004), Harald Juhnke (1929-2005)

und Klausjürgen Wussow (1929-2007).

Nun ermittelt die Staatsanwaltschaft!

...”BK 28.7.16 S. 10

http://www.nordkurier.de/templin/brisante-personalunterlagen-offen-zugaenglich-1124448208.html


Als HR-Mitarbeiter sind

Sie wichtiger Vermittler

beim Datenschutz!


Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.

Besuchen Sie uns im Internet unter:

www.intersoft-consulting.de

Vielen Dank für Ihre Aufmerksamkeit.

Gern stehe ich Ihnen für Fragen zur Verfügung.

Thorsten LogemannVorstandsvorsitzender der intersoft consulting services AG

E-Mail: [email protected] | Telefon: +49 40 790 235 – 0

Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg

Datenschutz in der Personalakte · intersoft consulting services AG Unternehmensprofil intersoft...

Documents

Transcript of Datenschutz in der Personalakte · intersoft consulting services AG Unternehmensprofil intersoft...